У друга при загрузке операционной системы выходит сообщение об активации системы в связи с тем что она признана пиратской и просят ввести ключ активации. При этом он не подходит, и предлогают другой способ получить данный ключ, это отослать СМС с определенным текстом на номер, в ответ придет ключ. написано что стоимость смс примерно 10$. При этом заблокированы любые действия, не открывается диспетчер задач. Активно только окно где надо ввести ключ. В безопасном режиме так же происходит блокирование и появляется это окно. Чистка автозаргузки толку не дала. Проверка на вирусы ничего не выявила.ъ



http://www.iqgorod.ru/uploads/posts/...8263_virus.jpg





Вот решение этого вопроса:



1-й способ:

Для убийства его вручную достаточно удалить файлик %windows%\system32\drivers\winlogon.exe , загрузившись с любого диска с поддержкой NTFS, загрузиться в нормальном режиме, залогиниться, далее Ctrl+Alt+Del => Диспетчер Задач => Выполнить => Regedit. Удаляем из автозагрузки, в Shell прописываем родной Explorer.exe, выходим, радуемся после перезагрузки.



2-й способ:



При загрузке windows жмем F8 и выбираем "Безопасный режим с поддержкой коммандной строки".

Когда все загрузится жмем "Ctrl + Alt + Del" и выбираем "Файл/Выполнить" набираем "explorer" и жмем "Enter" вылезает окно, которое объясняет зачем вообще нужен такой вид безопасного режима и предлагает перейти в полный, на что вы и соглашаетесь в полноценном безопасном режиме с помощью поиска находите "blocker*", он может лежать где угодно и иметь любое разширение (в моем случае .swf). Удаляете его и перезагружаетесь. Все. Должно сработать.

Более цивильно можно удалить так:



Dr.Web LiveCD



Dr.Web LiveCD – это оригинальный программный продукт, основанный на стандартном антивирусном сканере Dr.Web.



Dr.Web LiveCD – диск скорой антивирусной помощи, который позволяет восстановить работоспособность системы, пораженной действиями вирусов, на рабочих станциях и серверах под управлением Windows\Unix, скопировать важную информацию на сменные носители либо другой компьютер, если действия вредоносных программ сделали невозможным загрузку компьютера. Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и попытается вылечить зараженные объекты.



Как это работает?

Загрузите образ Dr.Web LiveCD.

Запишите сохраненный образ на CD или DVD. Например, если вы используете Nero Burning ROM вам необходимо:

Вставить чистый CD/DVD компакт-диск в пишущий привод

В меню "Файл" выбрать команду "Открыть"

Найти и выбрать сохраненный образ

Нажать кнопку "Прожиг" и дождаться окончания процесса записи

Убедитесь, что проверяемый компьютер загружается в первую очередь с CD-привода, в котором находится диск Dr.Web LiveCD, либо с другого носителя, на котором записан Dr.Web LiveCD. В случае необходимости внесите необходимые настройки в BIOS вашего компьютера

При загрузке Dr.Web LiveCD, на экран выводится диалоговое окно, в котором предоставляется возможность выбрать между обычным и безопасным (safe mode) режимом запуска программы.



http://www.av-desk.com/static/new-www/livecd1.gif



3. С помощью стрелочек на клавиатуре выберите нужный пункт меню и нажмите [Enter]:

Чтобы запустить версию сканера с графическим интерфейсом, выберите обычный режим загрузки DrWeb-LiveCD (Default)

Чтобы запустить сканер с интерфейсом командной строки (консольный сканер), выберите режим DrWeb-LiveCD (Safe Mode)

Выберите Start Local HDD, если вы желаете загрузить компьютер с жесткого диска и не запускать Dr.Web LiveCD

Выберете Testing Memory для запуска утилиты проверки памяти компьютера Memtest86+

В случае выбора режима DrWeb-LiveCD (Default) операционная система автоматически найдет все имеющиеся разделы жесткого диска и настроит подключение к локальной сети, если это возможно.



Скачать Dr.Web LiveCD

Спасибо Алексей! Как раз с такой сранью вчера столкнулся на домашнем компе.

Отпиши потом подробно здесь..Справился с этим разводиловым или нет...

после того, как все выкосится, с лайв сд загрузиться и посмотреть параметр

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

и прописать Shell=Explorer.exe



Удалить файлы blocker.exe и blocker.bin из директории

C:\Documents and Settings\All Users\Application Data, а также в

разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon меняем значение параметра "Userinit" с

"C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\ \ALLUSE~1\\APPL

IC~1\\blocker.exe" на "C:\\WINDOWS\\system32\\userinit.exe"



стоит такой же, вчера дружбан приволок под вечер, стоял нортон интернет секурити, нифига не увидел его, сейчас web его проверяет 2-й раз, 1-й раз он большинство выкосил, после него винда тож не подымается, на логоне в перезагрузку уходит http://www.carcd.ru/forum/public/sty..._DIR#>/sad.gif буду пробовать с командной или с hirens cd загружусь, буду править реестр, по результатам отпишусь

Во народ у нас... http://www.carcd.ru/forum/public/sty...IR#>/blink.gif

http://advisor.wmtransfer.com/FeedBackList...elp.ru?c1e36b00

На такую заразу не натыкался тьфу-тьфу, Dr.Veb где-то недели две, по-моему, назад давал информацию по разблокировке: КОД АКТИВАЦИИ 4420864, ещё по информации "Доктора" эта программа живёт где-то часа два времени, а потом самоуничтожается.

Где удалить из автозагрузки и в какой Shell прописывать?

Вообще есть еще способы удаления подобных червей (а их разновидностей уже наплодилось немало):

Например Keygen от Dr.Web ))) http://news.drweb.com/show/?i=304&c=5

Некоторым помогает перевод часов в биосе на 3 часа вперед.



А рецепт в общем случае такой:

Получаем доступ к дискам - либо как уже было сказано через безопасный режим с командной строкой либо

запустив экранную клавиатуру Win+U->справка->о программе в эксплоере получаем доступ к дискам.



1) Открываем regedit и идём HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Userinit

Там должна быть только запись вида «C:\Windows\system32\userinit.exe,»

В нашем случае вирь дописал в конце данной строчки свой запуск.



2) Ишем файл, прописанный в данной строчке и прибиваем его



3) Сканируем комп хорошим антивирусом.



4) Радуемся.



В етой ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Кроме Userinit еще есть Shell, куда вирусы тоже прописывают себя для автозапуска.

Я всем советую на ветке Winlogon прав кнопкой разрешения добавить юзера «Все», «Everyone» и в параметрах безопасности поставить только отметки запретить удаление и изменение параметров только етой ветки.

После етого вы будете своего рода застрахованы от таких типов вирусов



ЗЫ А вирус вот этот сайт распространяет А БАН ТЕБЯ НЕ ОТПРАВИТЬ ЗА ЭТУ ССЫЛУ !!!!???????? типа дрова вам надо установить)))

Так я ж написал где источник заражения находится... Ну да ладно не надо так не надо...

Прямые ссылки запрещено давать!! тем более на источники заражения!!! тут же на форуме найдется с десяток юзверей, которые обязательно полезут посмотреть из любопытства